Hoe hackers kwaadaardige programma's kunnen camoufleren met nep-bestandsuitbreidingen
Bestandsextensies kunnen worden nagebootst - dat bestand met de extensie .mp3 is mogelijk een uitvoerbaar programma. Hackers kunnen bestandsextensies vervalsen door een speciaal Unicode-teken te misbruiken, waardoor de tekst in omgekeerde volgorde moet worden weergegeven.
Windows verbergt standaard ook bestandsuitbreidingen, wat een andere manier is om beginnende gebruikers te misleiden - een bestand met een naam als picture.jpg.exe verschijnt als een onschadelijk JPEG-beeldbestand.
Bestandsextensies verbergen met de "Unitrix" Exploit
Als u Windows altijd laat weten dat het bestandsextensies moet weergeven (zie hieronder) en aandacht aan hen besteedt, denkt u misschien dat u geen last heeft van shenanigans die te maken hebben met file-extension. Er zijn echter nog andere manieren waarop mensen de bestandsextensie kunnen verbergen.
Dubbed de "Unitrix" exploit door Avast nadat het werd gebruikt door de Unitrix malware, deze methode maakt gebruik van een speciaal teken in Unicode om de volgorde van tekens in een bestandsnaam om te keren, waarbij de gevaarlijke bestandsextensie midden in de bestandsnaam wordt verborgen en het plaatsen van een ongevaarlijk ogende extensie aan het einde van de bestandsnaam.
Het Unicode-teken is U + 202E: van rechts-naar-links negeren en het dwingt programma's om tekst in omgekeerde volgorde weer te geven. Hoewel het voor sommige doeleinden duidelijk nuttig is, moet het waarschijnlijk niet in bestandsnamen worden ondersteund.
In wezen kan de werkelijke naam van het bestand zoiets zijn als "Awesome Song geüpload door [U + 202e] 3 pm.SCR". Het speciale karakter dwingt Windows om het einde van de bestandsnaam in omgekeerde volgorde weer te geven, dus de bestandsnaam zal verschijnen als "Awesome Song geüpload door RCS.mp3". Het is echter geen MP3-bestand - het is een SCR-bestand en het zal worden uitgevoerd als u erop dubbelklikt. (Zie hieronder voor meer soorten gevaarlijke bestandsextensies.)
Dit voorbeeld is afkomstig van een kraaksite, omdat ik dacht dat het bijzonder misleidend was: houd de bestanden die u downloadt in de gaten!
Windows verbergt standaard bestandsuitbreidingen
De meeste gebruikers zijn getraind om niet-vertrouwde .exe-bestanden niet te downloaden van internet, omdat ze mogelijk schadelijk zijn. De meeste gebruikers weten ook dat sommige soorten bestanden veilig zijn - als u bijvoorbeeld een JPEG-afbeelding met de naam image.jpg hebt, kunt u erop dubbelklikken en wordt deze geopend in uw programma voor het bekijken van afbeeldingen zonder risico op besmetting.
Er is slechts één probleem: Windows verbergt standaard bestandsextensies. Het image.jpg -bestand is mogelijk image.jpg.exe en wanneer u erop dubbelklikt, start u het schadelijke .exe-bestand op. Dit is een van de situaties waarin Gebruikersaccountbeheer kan helpen - malware kan nog steeds schade veroorzaken zonder beheerdersmachtigingen, maar kan uw volledige systeem niet schaden.
Erger nog, kwaadwillende personen kunnen elk pictogram instellen dat ze willen voor het .exe-bestand. Een bestand met de naam image.jpg.exe dat het standaardbeeldpictogram gebruikt, ziet eruit als een onschuldige afbeelding met de standaardinstellingen van Windows. Hoewel Windows u zal vertellen dat dit bestand een applicatie is als u goed kijkt, zullen veel gebruikers dit niet merken.
Bestandsextensies bekijken
Om u hiertegen te beschermen, kunt u bestandsextensies inschakelen in het venster Mapinstellingen van Windows Verkenner. Klik op de knop Organiseren in Windows Verkenner en selecteer Map- en zoekopties om het te openen.
Haal het vinkje weg Verberg extensies voor bekende bestandstypen vink het vakje aan en klik op OK.
Alle bestandsextensies zijn nu zichtbaar, dus u ziet de verborgen EXE-bestandsextensie.
.exe Is niet de enige gevaarlijke extensie
De .exe-bestandsextensie is niet de enige gevaarlijke extensie waarmee u rekening moet houden. Bestanden die eindigen met deze bestandsextensies kunnen ook code op uw systeem uitvoeren, waardoor ze ook gevaarlijk worden:
.bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbe, .vbs, .wsh
Deze lijst is niet uitputtend. Als u bijvoorbeeld Java van Oracle hebt geïnstalleerd, kan de .jar-bestandsextensie ook gevaarlijk zijn, omdat Java-programma's worden gestart.